试验说明；R1为SKY公司的网关，其F1/0接口连接互联网，用户现在出差在外，通过拨号连接到互联网上，现在希望实现用户通过internet拨号进入SKY公司的R1路由器上，拨号使用easy ***，并能连接到SKY公司的内网，192.168.0.0/24 网段

实验要求；

1，通过cisco *** client 拨上R1，需要ping通R1的网关的地址，

2，×××拨入成功之后，可以ping通 192.168.0.2，能访问内网服务器上的共享资源

实验过程：

第一步　 R1预配置

R1(config)#int f0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int e1/0
R1(config-if)#ip add 192.168.1.200 255.255.255.0
R1(config-if)#no sh
R1(config-if)#end
R1#ping 192.168.1.101
//　 在本实验中PC机的IP地址是192.168.1.101
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.101, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 8/50/168 ms
R1#

 

 

 

第二步　 配置认证策略

R1#conf t
R1(config)#aaa new-model
//　 激活AAA
R1(config)#aaa authorization network ***-client-user local
//　 配置对远程接入IPSec连接的授权，组名为***-client-user

第三步　 定义用户的组策略
R1(config)#ip local pool ×××DHCP 192.168.0.100 192.168.0.150
//　 配置一个内部地址池，用于分配IP地址到远程接入的×××客户端，在本实验中地址池的起始地址为192.168.0.100，终止的IP地址为192.168.0.150，在后面的组策略中会引用改地址池
R1(config)#crypto isakmp client configuration group ***-client-user
//　 配置远程接入组，组名为***-client-user，此组名与aaa authorization network命令中的名称一致
R1(config-isakmp-group)#key norvel.com.cn
//　 配置IKE阶段1使用预共享密钥，密钥为norvel.com.cn
R1(config-isakmp-group)#pool ×××DHCP
//　 配置在客户端连接的Easy ××× client所分配的IP地址池
R1(config-isakmp-group)#dns 221.11.1.67
//　 给客户端分配DNS地址
R1(config-isakmp-group)#domain norvel.com.cn
//　 配置分配给客户端的DNS域名
R1(config-isakmp-group)#exit
R1(config)#

 

 

 

第四步　 配置IKE阶段1策略

R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#group 2
R1(config-isakmp)#hash sha
R1(config-isakmp)#exit
R1(config)#end
R1#show crypto isakmp policy

Global IKE policy
Protection suite of priority 10
　　　　　　　 encryption algorithm:　　 Three key triple DES
　　　　　　　 hash algorithm:　　　　　　　　 Secure Hash Standard
　　　　　　　 authentication method:　 Pre-Shared Key
　　　　　　　 Diffie-Hellman group:　　 #2 (1024 bit)
　　　　　　　 lifetime:　　　　　　　　　　　　　　 86400 seconds, no volume limit
Default protection suite
　　　　　　　 encryption algorithm:　　 DES - Data Encryption Standard (56 bit keys).
　　　　　　　 hash algorithm:　　　　　　　　 Secure Hash Standard
　　　　　　　 authentication method:　 Rivest-Shamir-Adleman Signature
　　　　　　　 Diffie-Hellman group:　　 #1 (768 bit)
　　　　　　　 lifetime:　　　　　　　　　　　　　　 86400 seconds, no volume limit

 

 

第五步　 配置动态加密映射

R1#conf t
R1(config)#crypto ipsec transform-set R1 esp-sha-hmac esp-3des
//　 配置名为R1的转换集
R1(cfg-crypto-trans)#exit
R1(config)#crypto dynamic-map dy*** 10
//　 配置名为dy***的动态加密映射
R1(config-crypto-map)#set transform-set R1

R1(config-crypto-map)#reverse-route　　　　　　
//Reverse-route 生成的两条路由,不配置这条命令，是无法ping内网的设备192.168.0.2

R1(config-crypto-map)#exit

 

 

 

 

第六步　 配置静态加密映射

R1(config)#crypto map dy*** isakmp authorization list ***-client-user
//　 指定应该为远程接入×××连接执行的授权，这里的***-client-user名称必须与aaa authorization network命令中的相同
R1(config)#crypto map dy*** client configuration address respond
//　 配置允许路由器将信息分配给远程接入客户端，respond参数使路由器等待客户端提示发送这些信息，然后路由器使用策略信息来回应
R1(config)#crypto map dy*** 1 ipsec-isakmp dynamic dy***
//　 配置在静态映射条目中关联动态加密映射

 

 

第七步　 在接口上激活静态加密映射

R1(config)#int e1/0
R1(config-if)#crypto map dy***
R1(config-if)# ^Z

 

 

第八步　 在PC机上打开Cisco ××× Client进行配置，点击New创建一个新的×××连接

第九步　 在×××连接中进行配置，连接名填写easy***，主机填写××× Server 192.168.1.200，name填写***-client-user，密码填写norvel.com.cn

第十步　　 测试×××连接，选中easy***，点击Connect

第十一步　　 连接成功后查看连接的统计信息

在××× R1上查看相关×××信息：

R1#show crypto ipsec sa